Vbudovani loginlari SQL Server 2005, BUILTIN\Administratorlar, , NT AUTORITY\SYSTEM, sa
SQL Server 2005 ni konteynerga o'rnatgandan so'ng Kirish z'yavlyaêtsya nabír logínív scho stulyuyuyutsya avtomatik ravishda. Shvidshe hamma narsa uchun, koristuvachivning ulanishi uchun siz vikoristuvatimete emas í̈x. Tim kam emas, vaziyatni ayblang, loginlar haqida ba'zi bilimlarda siz yaxshi bo'lishingiz mumkin (masalan, sizning ma'muriy loginingiz beixtiyor bloklangan bo'lsa).
q BUILTIN\Administratorlar (aks holda BUILTIN\Administratorlar, zalezhno v_d movi operatsion tizimi) - Windows guruhining kirishiga avtomatik ravishda SQL Server tizim ma'murining huquqlari beriladi. Hurmatni qaytaring, shunday qilib kompyuter domenga kiradi, guruhni avtomatik ravishda tuzoqqa tushiradi domenAdminlar(Domen ma'murlari) va ushbu darajadagi blokirovka uchun domen ma'murlari SQL Serverga to'liq huquqlarga ega bo'lishi mumkin. Bunday holat chidab bo'lmas ekan, siz butun loginni ko'rishingiz mumkin. Lekin har qanday holatda ham domen ma'murlari SQL Server ma'lumotlariga kirish haqida qayg'urmaydi.
q Server_nomi 2005MSFTEUser$ Server_nomi$Im'ya_conciliator , Server_nomi 2005MSSQLUser$ Server_nomi$Im'ya_conciliator ,Server_nomi 2005SQLAgentUser$ Server_nomi$Im'ya_conciliator - qi uchun uchta login Windows guruhi SQL Server 2005 uchun podklyuchennya vídpovídnyh xizmatlar uchun vykorivayutsya. SQL Server 2005 bilan bir qatorda ular bilan kaksís operatsíí vikonuvat kerak emas, oskolki barcha nebhídní huquqlari vzhe nadaní. Kamdan kam hollarda, SQL Server xizmatlarini ishga tushirish kabi Windows-dagi ushbu guruhlarga bulutli yozuvlarni qo'shishingiz kerak bo'lishi mumkin.
q NT AUTORITY\NETWORK XIZMATI - qiêí nomi bilan oblikovogo rekord Windows Server 2003 ASP .NET dasturlarini, jumladan, Reporting Services bilan ishlaydi ASPNET). Ushbu Windows logini SQL Server Reporting Services-ga ulanish uchun ishlatiladi. Sizga avtomatik ravishda ma'lumotlar bazasiga kerakli huquqlar beriladi master, msdb Reporting Services g'alaba qozongan ma'lumotlarga asoslangan.
q NT AUTORITY\SYSTEM - operatsion tizimning butun mahalliy tizim tasviri yozuvi. Bunday login ma'lum holatlarda paydo bo'ladi, agar siz SQL Server xizmati robotini mahalliy tizim bulut yozuvi nomi bilan o'rnatgan bo'lsangiz. Aytish mumkinki, qaysi yordam uchun SQL Server login o'ziga aylantiriladi. Shubhasiz, ushbu login SQL Server tizim administratori huquqlariga ega.
q sa (vid TizimAdministrator) - qulflash uchun yaratilgan SQL Serverning yagona kirish turi. Siz SQL Server tizim administratorining huquqlariga egasiz va yangisining huquqlarini o'zgartira olmaysiz. Siz bir xil loginni ko'ra olmaysiz. Prote yoga o'zgarishi yoki o'chirilishi mumkin. SQL Server 2005 uchun faqat autentifikatsiya konfiguratsiya qilinadi Windows, serverga ulanish uchun ushbu loginni yutib olish uchun unga kirmang.
DIQQAT!!! DIQQAT!!! DIQQAT!!!
XAVFSIZ QURT!Alomatlar: O'lchovda ishlayotganda, pulni tejash uchun barcha dasturlarni bajarish kerak bo'lganlar haqida eslatib turadigan tezkor xabar mavjud, chunki. 60 s dan keyin. qayta ko'tarilish bo'ladi.
Tashxis: W32.Blaster.worm.Worm Exploiter RPC DCOM xizmatida 16 lintni topdi, u hamma joyda mavjud operatsion tizimlar Windows 2000, Windows XP va Windows 2003 oilalari. Bu nomuvofiqlik buferning to'lib ketishi bo'lib, biz hujum qilinayotgan kompyuterning 135, 139 yoki 445 portiga kelgan TCP/IP paketini yig'ishimizni anglatadi. Bu hech bo'lmaganda DoS hujumiga imkon beradi (DoS "Xizmat ko'rsatishni rad etish" yoki "xizmatda" degan ma'noni anglatadi, bu holda - hujumga uchragan, qayta hujumga uchragan kompyuter), va maksimal - hujum qilingan kompyuter xotirasida vikonati. Yuther be-qanday kod. Yangi qurt, 135-portga kengaytirilgan hujumi bilan va muvaffaqiyatli bo'lgach, TFTP.exe dasturini ishga tushiradi, yordam uchun u o'z kompyuterida zavantazhu qiladi. Yomon fayl. Agar koristuvachevni ko'rganingizda, RPC xizmati haqida xabarnoma bor, keyin esa yana afzallik. Qayta ishga tushirilgandan so'ng, qurt avtomatik ravishda ishga tushadi va ochiq port 135 bo'lgan kompyuterlar uchun mavjud tarmoqlarni kompyuterdan skanerlashni boshlaydi. Bunday qurtlar aniqlanganda, hujumni amalga oshirish uchun, lekin u boshidan takrorlanadi. Bundan tashqari, rozpovsyudzhennya tezligiga qarab Narazi, Nezabarom worm'yak viide virusga qarshi kompaniyalar ro'yxatida birinchi o'rinda.
Yuzlar: hrobak qarshi himoya qilish uchun uch yo'l ísnuyut. Birinchidan, Microsoft byulleteni Windows-ning barcha turli versiyalari uchun RPC-dagi bo'shliqni yopish uchun yamoqlarga ishora qildi (yamalar 16 dan ortiq jo'ka chiqarildi, tizimni muntazam yangilaydiganlar uchun bu haqda tashvishlanmang). Boshqacha qilib aytganda, agar 135-port xavfsizlik devori tomonidan bloklangan bo'lsa - hrobak kompyuterga kira olmaydi. Uchinchidan, ekstremal dunyo sifatida DCOM-ni yoqish yordam beradi (protsedura Microsoft byulletenida batafsil tavsiflangan). Shu tarzda, siz hali chrobak hujumlarini tan olmaganligingiz uchun - Microsoft serveridan operatsion tizimingiz uchun yamoqni olishingiz tavsiya etiladi (masalan, shoshiling. Windows xizmatlari Yangilash), aks holda xavfsizlik devoridan 135, 139 va 445 portlarini blokirovka qilish. Sizning kompyuteringiz allaqachon infektsiyalangan bo'lishi bilanoq (va bu haqda bildirishnomalarning paydo bo'lishi miltsi RPC shubhasiz, infektsiyaning aybi borligini anglatadi), keyin DCOMni o'chirish kerak (teri xuruji bo'lsa, uni qayta ulash kerak bo'ladi), shundan so'ng yamoqni kiritish kerak. Qurtni o'ldirish uchun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run yak registr kalitidan "windows auto update"="msblast.exe" yozuvini o'chirish kerak. Symantec veb-saytida chrobackni olib tashlash tartibi haqida hisobotni o'qishingiz mumkin.
Ayni paytda barcha antiviruslar qurtni ko'rsatmaydi - bu yangilanish yo'ldan chiqqandan keyingina mumkin bo'ladi.
Shunday qilib, siz hali Bill amakidan yuklab olish yamoqlarini e'lon qilmagansiz:
Bu yerda NT 4.0 va 2000, 2003 Server uchun liklarga havolalar mavjud
Xonani qurishdan bir necha kun oldin boshqa Metasploit sotib olindi
Yangi modul, bu haqda biz shunchaki aytib bera olmadik. Zavdyaki
yangi getsystem buyrug'i bilan buzilgan tizimga o'tish mumkin bo'ldi
z NT AUTHORITY\SYSTEM huquqlarini olib tashlagan holda, ring0 da foydalanuvchi darajasi! I tse - be-yakah
Windows versiyalari.2010 yil 19 sentyabrda ommaviy bo'ldi
NT 3.1 dan boshlab Windowsning istalgan versiyasi uchun imtiyoz yangilanishi chiqdi
1993 yil rock va yangi paydo bo'lgan "Simka" bilan tugaydi. Exploit-db.com xakeri Tavisda
Ormandy KiTrap0d sploit uchun qo'llanma, shuningdek, kompilyatsiyalar sifatida nashr etilgan
binarnik, zastosuvannya tayyor. Ehtimol, asl sploítni sinab ko'ring
aravacha. Kim uchun vdmexploit.dll va vdmallowed.exe arxivlarini yuklab olish kerak,
uni jabrlanuvchi mashinasiga o'tkazing va u erda exe faylini ishga tushiring. DA
natijalari, qat'i nazar, ba'zi koristuvach vikonano hisobidan ostida
ishga tushirish, konsol tizimi koristuvacha, keyin NT imtiyozlari bilan paydo bo'ladi
AVTORITA\TIZIM. Tasdiqlash uchun siz kompyuteringizda sploitni ishga tushirishingiz mumkin,
avval katta koristuvach ostida tizimga kirgan. Ishga tushgandan keyin
sploíta vídkryêtsya víkno cmd.exe maksimal imtiyozlarga ega.Nima berasiz? Vaziyatni oshkor qilish, qaysi bir deaky qo'shimcha orqali tanaffuslar birlashtirish va
otrimu qobiq ustida masofaviy kompyuter. Internet uchun zgurtuvati bo'lsin
Explorer - tajovuzkor o'z qo'lida huquqlar bilan tizimga kirish huquqiga ega bo'ladi
ko'rinishida brauzer ishga tushirilgan ushbu koristuvach. Men jang qilmayman, do'stim
ko'pincha administrator huquqlari bilan rasmiy yozuv bo'ladi (koristuvachning o'zi aybdor), lekin
qanday yo'q? Eksa shu yerda va siz imtiyozlaringizni oshirish uchun KiTrap0d dan foydalanishingiz mumkin
NT AUTHORITY\SYSTEMga! Bundan tashqari, navit tí koristuvachí, yaki guruhga kiring
administrator tizimning yuqori qismiga kira olmaydi, masalan,
Koristuvachivda parollarning xeshlarini o'qish (pastga qarang). Va NT tizimi hisobi -
balki! Shu bilan birga, yon tomondan bir xil yamoqning maqolasi nashr etilganda
Nizolarni jilovlayotgan Microsoft ozod qilinmadi."Tizimni saqlash" operatsiyasi
Biz dii-da asl birdamlikni namoyish qilmaymiz, chunki 25
Endi Metasploit-ga yangi skript qo'shildi
KiTrap0d yanada qulayroq bo'ldi. Modullar bazasida ko'p pul sarflab, buvning varianti
beqaror va spratsovuvav zavzhd emas, lekin kun o'tmagan, kechirim buli kabi
emdi. Shu bilan birga, modul boshqa yangilanishlar bilan bir vaqtning o'zida yuklab olinadi,
shuning uchun uni o'rnatish uchun "Metasploit update" menyu bandini tanlash kifoya.
Endi masofaviy tizimga kirish imkoniga ega bo'lgan holda, siz "run kitrap0d" ni yozib, olib kelishingiz mumkin
diuda miting. "Ammo bunday p'yanka yuborilganida, biz buni siz uchun qila olamiz
maxsus guruh”, deb o'yladi Metasploit sotuvchilari. Natijada,
bu shunday mo''jiza buyrug'i "imtiyozlarni berish", orqali mavjud edi
meterpreter kengaytmasi - bizga kerak :).Otzhe, biz masofaviy tizimga kirishimiz mumkin (o'rganish ko't
"Aurora operatsiyasi" maqolasi tomonidan foydalanilgan) va biz konsolda tanilganmiz
metasploit. Keling, o'z huquqlarimizni qanday boshqarishimiz haqida o'ylab ko'raylik:meterpreter > getuid
Ha ajoyib koristuvach. Guruhdan oldin guruhga kirish mumkin
ma'murlar, lekin biz bunga ahamiyat bermaymiz. Amalga oshirilgan plagin moduli
biz uchun getsystem jamoasi
tasdiqlash ekrani:meterpreter > priv dan foydalaning
Priv kengaytmasi yuklanmoqda... muvaffaqiyatli.
meterpreter > getsystem -h
Foydalanish: getsystem
E'tibor bering, har xil tizimdan kelgan imtiyoz kuchiga erishish uchun yig'lang.
Variantlar:H yordam banneri.
-t Wink texnologiyasi. (Birlamchi “0”).
0: Barcha texnikalar mavjud
1: Xizmat - Nomlangan quvur taqlid qilish (Xotirada/Admin)
2: Xizmat - Quvur nomiga taqlid qilish (tomchi / administrator)
3: Xizmat - Tokenlarni takrorlash (Xotirada/Admin)
4: Exploit - KiTrap0D (xotirada/foydalanuvchida)Ko'rib turganingizdek, KiTrap0D buyruq funksiyasining faqat bir qismini amalga oshiradi.
Qanday qilib siz koristuvachemdan qobiqdan uzoqlashdingiz, bu allaqachon to'g'ri bo'lishi mumkin
administrator, keyin siz g'alaba qozonishingiz mumkin
uchta boshqa texnika (siz -t kalitiga ruxsat berishni tanlashingiz mumkin). Xo'sh, boshqa nima, aytmasdan
bir xil parametrlarga nisbatan biz metasploitni taklif qilamiz, qaysi biri g'alaba qozonishi mumkin
ziyoratchilardan bo'l. Bundan tashqari, KiTrap0D, bu bizning imtiyozlarimizni tenglashtiradi
"Tizim", hatto ba'zi huquqlarga ega bo'lsa ham, bizga bir vaqtning o'zida berildi.meterpreter > getsystem
... tizimi bor (4-texnika orqali).Ha, ular imtiyozlarni ilgari surish muvaffaqiyati haqidagi ma'lumotlarni, qolaversa, hujum uchun olib ketishdi
vikoristovuvavsya KiTrap0D o'zi - ehtimol u ustuvor ega. Chi mi diyno
tizimga kirdingizmi? Keling, joriy UID-ni qayta ko'rib chiqaylik:meterpreter > getuid
Ê! Metasploit konsolida faqat bitta buyruq va NT AUTHORITY\SYSTEM ruxsatlari
ichimizda. Dali vzagali ko'rinadi, hamma narsa mumkin. Men taxmin qilganda, o'ylayman
Jurnal chiqarilgan paytda Microsoft yamoqlari mavjud emas edi.Parolni tashlab yuborish
Agar siz allaqachon oblikovogo yozuv tizimiga kirish imkoniga ega bo'lsangiz, unda siz kerak
korisne. Metasploit arsenalida hashdump buyrug'i mavjud.
pwdump yordam dasturining kattaroq versiyasi yuklandi. Bundan tashqari, qolganlarida
skript variantining transformatsiyalari qo'shilishlarining metasploit versiyasi, bu
LANMAN/NTLM xeshlari va doklarini aniqlash tamoyilini yangilaydi
antiviruslar. Ale sens tsomada emas. Muhim, viconan uchun hashdump buyrug'i nima
NT AUTHORITY\SYSTEM huquqlari talab qilinadi. Aks holda, dasturda kechirim ko'rsatiladi
"[-] priv_passwd_get_sam_hashes: Amaliyot muvaffaqiyatsiz tugadi: 87". Menga shunday tuyuladi
LANMAN/NTLM-xesh-parollar maxsus ro'yxatga olish kitobi kalitlarida qanday saqlanadi
HKEY_LOCAL_MACHINE\SAM va HKEY_LOCAL_MACHINE\SECURITY mavjud emas
ma'murlar. Їx faqat tizim oblikovogo yozuvlari imtiyozlari bilan o'qilishi mumkin.
Buning uchun hashdump buyrug'iga qarang
mahalliy vytyagti z ro'yxatga olish kitobi xesh, obov'yazykovo emas. Ale yakcho taka
mozhlivist ê, nega bí ní?meterpreter > getuid
Server foydalanuvchi nomi: NT AUTHORITY\SYSTEMmeterpreter > hashdump-ni ishga tushiring
[*] Yuklash kaliti olinmoqda...
[*] SYSKEY 3ed7 yordamida hboot kalitini hisoblash[...]
[*] Foydalanuvchilar roʻyxati va kalitlarni oling...
[*] Foydalanuvchi kalitlari shifrlanmoqda...
[*] Parol xeshlarini tashlash...Administrator:500:aad3b435b51404eeaad3b435b51404ee:...
Mehmon:501:aad3b435b51404eeaad3b435b51404ee:...
HelpAssistant:1000:ce909bd50f46021bf4aa40680422f646:...Xeshlar olib tashlandi. Men shafqatsiz kuchlardan qutulishga harakat qilishdan charchadim, masalan,
l0phtcrack.Imtiyozlarni qanday aylantirish mumkin?
Agar men buyuklarning o'ng tomoniga o'girilmoqchi bo'lsam, kulgili vaziyat yuzaga keldi
orqaga. Topilgan rev2self buyrug'i ishlamadi va men allaqachon qildim
"NT AUTHORITY\SYSTEM" dan tashqarida: robot trioma uchun tan olinmasligi mumkin
getsystemda amalga oshirilgan boshqa yondashuvlar. Bu aylangandek tuyuldi
imtiyozlar uchun Tim Koristuvach boshlagan jarayonga tokenni "qirdirish" kerak,
bizga kerak bo'lgan. Shuning uchun barcha jarayonlar ps buyrug'i bilan ko'rsatiladi va ulardan tanlanadi
muvofiq:meterpreter > ps
Jarayon ro'yxati
============
PID nomi Arch foydalanuvchi yo'li
--- ---- ---- ---- ----
0
4 Tizim x86 NT AUTHORITY\SYSTEM
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\user C:\WINDOWS\Explorer.EXE
...Yak mi bachimo, explorer.exe yakraz píd zvuchaynym koristuvachamni ishga tushiradi
hisob va PID = 1560 bo'lishi mumkin. Endi, mayli, siz foydalanish orqali "tokenni o'g'irlashingiz" mumkin
steal_token buyrug'i. PID tomonidan uzatiladigan yagona parametr sifatida
zarur jarayon:meterpreter > steal_token 1558
Foydalanuvchi nomi bilan o'g'irlangan token: WINXPSP3\user
meterpreter > getuid
Server foydalanuvchi nomi: WINXPSP3\user"Server foydalanuvchi nomi" maydoniga asoslanib, operatsiya muvaffaqiyatli bo'ldi.
Qanday ishlaysiz?
Nasamkinets varto razpovísti paydo bo'lishidan oldin paydo bo'lgan nizolarning tabiati haqida
miting. Tizimli obrobnikda aybni kechirish uchun aybni himoya qilishda tanaffus
#GP qayta ishga tushirish (bu nt!KiTrap deb ataladi). U orqali yadroning imtiyozlari bilan
vicons bo'lishi mumkin qo'shimcha kod. Bu tizimning mavjudligiga bog'liq
BIOS vikilarini noto'g'ri transkripsiya qilish, agar 32 bitli x86 platformasida bo'lsa
16 bitli dastur g'alaba qozonadi. Operatsiya uchun
16-bitli dastur (%windir% \twunk_16.exe), harakatlarni manipulyatsiya qilish
boshlash uchun NtVdmControl() funktsiyasini chaqiradigan tizim tuzilmalari
Windows Virtual DOS mashinasi (aka NTVDM quyi tizimi), oldingi natijasida
manipulyatsii tizimning haftalik robnikiga olib #GP reset deb
spratsovuvannya sploítu. Nutqdan oldin yulduzlar qichqiradi va birlashgan er
sploíta, bu 32-bitli tizimlarda kamroq spratsovuê. 64-bit uchun
16-bitli qo'shimchalarni ishga tushirish uchun oddiy emulyatorlar mavjud emas.Nima uchun sploítom tayyorlash bilan ma'lumot ommaviy foydalanish uchun isrof qilindi? Mavjudligi haqida
nomuvofiqlik, sploíta muallifi o'tgan taqdiri haqida Microsoft xabardor va
navyt otrimav podtverdzhennya, scho yogo zvyt Bulo qarash oldin qabul. Faqat vizalar
va u erda yo'q. Kompaniya uchun rasmiy yamoq yo'q edi va muallif noto'g'ri edi
ma'lumotni eng to'g'ri bo'lganiga ko'ra, omma oldida nashr eting. hayrat,
jurnal sotuvga chiqqan paytda chi viide patch :)?O'zingizni bo'linishda qanday himoya qilish kerak
Ovozni yaxshilash uchun to'liq ta'mirlash parchalari hali ham mavjud emas,
aylanib o'tish yo'llarini tezlashtirish uchun sodir bo'ladi. Oxirgi variant -
MSDOS va WOWEXEC quyi tizimlarini yoqing, bu esa darhol tarqalishiga yordam beradi
funksionallik, chunki endi NtVdmControl() funksiyasini chaqirish mumkin emas
NTVDM tizimini ishga tushirish uchun. Windowsning eski versiyalari uchun u orqali amalga oshirilishi kerak
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW-ni bilishingiz kerak bo'lgan ro'yxatga olish kitobi
í ismga istalgan belgi qo'shing. Joriy OS uchun
16-bitli dasturlarni ishga tushirish uchun almashinuvni o'rnatish orqali talab qilinadi
guruh siyosati. Biz GPEDIT.MSC deb ataymiz, keling, tarqatishga o'tamiz
"Koristuvach Konfiguratsiyasi/Ma'muriy shablonlar/Windows komponentlari/Xulosa
qo'shing" va "16-bitgacha kirish uchun panjara" opsiyasini faollashtiring
dodatkiv".www
Muallifning syujetdagi g'ayrioddiyligi tavsifi:
http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.htmlMicrosoft bilan bog'liq muammolarni o'z vaqtida hal qilish:
http://support.microsoft.com/kb/979682OGOHLANTIRISH
Ma'lumotlar ommaviy maqsadlarda taqdim etiladi. Wikimedia in
noqonuniy maqsadlar jinoiy hayotga olib kelishi mumkin.NT AUTORITY/TIZIM XATOSI,
podomlennya XP - virusni qanday olib tashlash mumkinAgar sizda ruscha versiya bo'lsa, avval tilni yuklab oling va tilni o'zgartiring.
Virusning o'zi haqida:
Uchora, Moskvada taxminan 23 yil o'tgach, turli forumlarda Merezha-ga kirishda Windows 2000 va Windows XP-ning ajoyib xatti-harakatlari haqida xabarlar paydo bo'la boshladi: tizim RPC xizmatining kechirilishi va yana afzalliklarga ega bo'lish zarurligi haqida bildirishnomalarni ko'rdi. Yangilanish qayta kiritilgandan so'ng, u eng ko'p whilin sprat orqali takrorlandi va oxiri yo'q edi.O'tkazilgan tadqiqotlar shuni ko'rsatdiki, bugungi kunda boshlangan w32.Blaster.worm yangi shuvoq epidemiyasi butun epidemiyaga sabab bo'lmoqda. , keyingi tartibda qo'ng'iroq qilganimizda, biz hujum qilingan kompyuterning 135, 139 yoki 445 portiga yuboriladigan TCP / IP paketini yig'amiz. Bu hech bo'lmaganda DoS hujumiga imkon beradi (DoS "Xizmat ko'rsatishni rad etish" yoki "xizmatda" degan ma'noni anglatadi, bu holda - hujumga uchragan, qayta hujumga uchragan kompyuter), va maksimal - hujum qilingan kompyuter xotirasida vikonati. Yuther be-qanday kod.
Birinchisi, qurt paydo bo'lishidan oldin chegaraning bepoyonligini bezovta qilishga chaqirgan - eng oddiy ekspluatatsiyaning ravshanligi (mos kelmaslikning g'alabasi uchun dastur), agar kimdir imkoni bo'lsa, vaziyatni ko'tarish uchun chaqirilishi kerak. ushbu dasturni oling va uni qisqa vaqt ichida tinch maqsadlarda boshlang. Biroq, iqtiboslar bor edi.
Yangi qurt 135-portga kengaytirilgan hujumi bilan va muvaffaqiyatli bo'lgach, TFTP.exe dasturini ishga tushiradi, buning yordamida u kompyuterni o'z fayliga hujum qilishga undaydi. Agar koristuvachevni ko'rganingizda, RPC xizmati haqida xabarnoma bor, keyin esa yana afzallik. Qayta ulanishdan so'ng, qurt avtomatik ravishda ishga tushadi va 135-portdagi kompyuterlarga kirish uchun kompyuterdan mavjud ulanishlarni skanerlashni boshlaydi. Bunday qurtlar aniqlanganda, hujumni amalga oshirish uchun, lekin u boshidan takrorlanadi. Bundan tashqari, infektsiyalarning kengayish sur'atiga ko'ra, antivirus kompaniyalari ro'yxatida birinchi bo'lib qurt paydo bo'lishi odatiy hol emas.
hrobak qarshi himoya qilish uchun uch yo'l ísnuyut.
Birinchidan, Microsoft byulleteni Windows-ning barcha turli versiyalari uchun RPC-dagi bo'shliqni yopish uchun yamoqlarga ishora qildi (yamalar 16 dan ortiq jo'ka chiqarildi, tizimni muntazam yangilaydiganlar uchun bu haqda tashvishlanmang).
Boshqacha qilib aytganda, agar 135-port xavfsizlik devori tomonidan bloklangan bo'lsa - hrobak kompyuterga kira olmaydi.
Uchinchidan, ekstremal dunyo sifatida DCOM-ni yoqish yordam beradi (protsedura Microsoft byulletenida batafsil tavsiflangan). Shunday qilib, biz hali ham qurt hujumlarini taniy olmadik - Microsoft serveridan operatsion tizimingiz uchun yamoqni olish (masalan, Windows Update xizmatlaridan foydalanish) yoki 135, 139 va 445 portlarni bloklash tavsiya etiladi. xavfsizlik devoridan.
Agar sizning kompyuteringiz allaqachon infektsiyalangan bo'lsa (va RPC kechirilishi to'g'risida bildirishnomaning paydo bo'lishi aniq infektsiyaning aybdorligini bildiradi), u holda DCOM-ni o'chirib qo'yish kerak (teri xuruji bo'lsa, bosish va bosish paydo bo'ladi) qayta biriktirish), agar kerak bo'lsa, yamoqni himoya qiling va o'rnating.
Qayta tiklashni o'chirish uchun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr ro'yxatga olish kitobi kalitini o'chirishingiz kerak.
Msblast.exe faylini - ce va ê hrobak tanasini qanday o'chirish kerakligini bilish uchun "Windows auto update"="msblast.exe" yozuvini ishga tushiring. Symantec veb-saytida chrobackni olib tashlash tartibi haqida hisobotni o'qishingiz mumkin.Ayni paytda barcha antiviruslar qurtni ko'rsatmaydi - bu yangilanish yo'ldan chiqqandan keyingina mumkin bo'ladi.
AHTOH tomonidan 17-08-2003 23:29 da e'lon qilingan:XAVFSIZ QURT! Nt Authority/tizim xatosi
__________________
Buzilishlar
Men yaxshilik keltiraman, yomonlik keltiraman ...
